Vietnews.ru
Наука и Технология

Бэкдор PhantomLance распространялся через Google Play годами

(Читать 2 мин.)

Летом прошлого года специалисты компании «Доктор Веб» обнаружили в Google Play ничем не примечательную малварь, которая распространялась под видом приложения OpenGL Plugin. Вредонос позволял дистанционно управлять инфицированными Android-устройствами и следить за их пользователями.

Однако теперь эксперты «Лаборатории Касперского» выяснили, что данный троян, в отличие от подавляющего большинства другого вредоносного ПО, встречающегося в Google Play, оказался на удивление сложным. Собственное расследование компании обнаружило, что малварь является частью вредоносной кампании PhantomLance, берущей начало еще в конце 2015 года.

Исследователи выя­вили несколько версий PhantomLance. Несмотря на разное время появления и возрастающую с каждой версией сложность, они довольно схожи по своим возможностям.

Основная цель PhantomLance — сбор конфиденциальной информации с устройства жертвы. Для этого вредонос может получать root-права на устройстве, и таким образом обрести возможность передавать своим операторам данные геолокации, журнал вызовов, SMS-собщения, список установленных приложений и полную информацию о зараженном устройстве. При этом его функциональность может быть в любой момент расширена благодаря загрузке дополнительных модулей с командного сервера.

Для распространения PhantomLance злоумышленники, похоже, ­использовали в основном Google Play. Так, малварь встречается и в сторонних каталогах приложений, но в большинстве своем они являются лишь «зеркалами» официального магазина приложений Google. Исследователи утверждают, что приложения, содержащие одну из версий трояна, появлялись в Google Play как минимум начиная с лета 2018 года. Как правило малварь скрывалась в утилитах для смены шрифта, удаления рекламы, очистки системы и так далее.

Одно из вредоносных приложений

Имя пакетаДата присутствия в Google Play (по меньшей мере)
com.zimice.browserturbo2019-11-06
com.physlane.opengl2019-07-10
com.unianin.adsskipper2018-12-26
com.codedexon.prayerbook2018-08-20
com.luxury.BeerAddress2018-08-20
com.luxury.BiFinBall2018-08-20
com.zonjob.browsercleaner2018-08-20
com.linevialab.ffont2018-08-20

Сейчас все вредоносные приложения уже удалены из Google Play, но до сих пор их можно обнаружить в других каталогах. Иронично, что некоторые из таких «зеркальных каталогов» сообщают, что установочный файл был скачан напрямую из официального магазина Google, а значит, не содержит вирусов.

Как злоумышленникам удалось протолкнуть троян в официальный магазин приложений? Аналитики объясняют, что, во-первых, хакеры проявляли большие внимание к деталям и для большей достоверности создавали под каждую утилиту профиль ее разработчика на GitHub (который, впрочем, содержал лишь лицензионное соглашение). Во-вторых, изначально загружавшиеся в магазин приложения не были вредоносными. Первые версии программ не содержали никаких подозрительных функций и потому легко преодолевали все проверки Google Play. И лишь через некоторое время, с очередным обновлением, приложения обзаводилось «нужными» его создателям вредоносными функциями.

Судя по географии распространения PhantomLance, а также по наличию в магазинах специальных версий вредоносных приложений на вьетнамском языке, основной целью создателей PhantomLance были пользователи из Вьетнама (а также пользователи из Индии, Бангладеш, Индонезии и так далее).

Кроме того, эксперты смогли заметить ряд признаков, связывающих PhantomLance с обнаруженной ранее хакерской группировкой OceanLotus, которая ответственна за создание целой линейки вредоносного ПО и также сфокусирована на пользователях из Вьетнама.

В набор ранее исследованных вредоносных инструментов OceanLotus входят семейство бэкдоров для macOS, семейство бэкдоров для Windows, а также набор Android-троянов, активность которых была замечена в 2014 — 2017 годах. По мнению экспертов, начиная с 2016 года PhantomLance пришел им на смену. Подробный технический отчет о найденной угрозе можно найти здесь.

Источник: Хакер.ру


Тэги: Бэкдор, PhantomLance,Google Play,Android,хакер,
#хакер #Бэкдор #PhantomLance #Android #Google Play


СТАТЬИ ПО ТЕМЕ

Технический гигант в США Qualcomm во вторник официально открыл новый центр исследований и разработок искусственного интеллекта (AI R&D) в Вьетнаме.

Наука и Технология,

1 неделю назад

В качестве знакового шага, который подчеркивает растущие амбиции Вьетнама в области высоких технологий, компания Vingroup представила первого в стране человекоподобного робота отечественной разработки – VinMotion.

Наука и Технология,

1 неделю назад

Ведущие ученые призывают к крупным инвестициям в ключевые технологии в рамках усилий Вьетнама по созданию надежной инновационной экосистемы в соответствии с резолюцией 57.

Наука и Технология,

2 недели назад

Финтех (финансовые технологии) играет ключевую роль в расширении доступа к финансовым услугам по всему Вьетнаму, предоставляя недорогие финансовые услуги и значительно улучшая качество обслуживания пользователей с помощью инновационных утилит.

Наука и Технология,

3 недели назад

VNREDSat-1, первый вьетнамский спутник наблюдения Земли, запущенный 12 лет назад, возобновил нормальную работу после успешного решения проблем с системой управления, сообщает Вьетнамский национальный космический центр (VNSC) при Вьетнамской академии наук и технологий.

Подключение к глобальному интернету во Вьетнаме восстановилось в нормальном режиме после завершения ремонта подводного кабеля Asia Pacific Gateway (APG) — как раз к пятидневному Дню воссоединения страны и первомайским праздникам, начинающимся в среду.

Вьетнам ввел в эксплуатацию свой сегмент Asia Direct Cable, своего крупнейшего на сегодняшний день подводного интернет-соединения, с посадочной станцией в центральной провинции Биньдинь.

Наука и Технология,

2 месяца назад

Три основных телекоммуникационных провайдера страны, VNPT, FPT и Viettel, увеличили базовую скорость фиксированного интернета до минимума в 300 Мбит/с, что приблизило Вьетнам к самому быстрому в мире.

Наука и Технология,

2 месяца назад

Виртуальный помощник Apple Siri теперь поддерживает вьетнамский язык и может взаимодействовать с местными приложениями для вызова такси и денежных переводов.

Наука и Технология,

2 месяца назад

Генеральный директор Bybit Бен Чжоу похвалил вьетнамскую компанию по кибербезопасности Verichains за ее решающую роль в расследовании “крупнейшего в истории кражи криптовалют” - взлома на сумму 1,5 миллиарда долларов, целью которого была его криптовалютная биржа.

Наука и Технология,

3 месяца назад

Ежедневный обед в ресторане La Table Hanoia

14 новых ресторанов во Вьетнаме вошли в список избранных ресторанов Мишлен 2025 года

Невероятная многогранность кокосов в Бен Че

Британский журнал назвал бар на крыше в Хошимине одним из 20 лучших в мире

Кафе Вьетнама становятся патриотическими в честь 50-летия национального воссоединения

Шесть знаменитых горячих источников во Вьетнаме: Booking.com